報告稱大多數企業沒有正確保護敏感數據
責編:admin |2014-12-18 16:33:21Trustwave在其2014年風險狀態報告發現了一些令人驚訝的數據安全趨勢,其中包括這樣的事實,即大多數企業沒有完全成熟的方法來控制和追蹤敏感數據。
對于數據安全問題,企業間有著很高程度對法律責任的認識,但并沒有弄清楚如何通過追蹤敏感數據來控制風險。該報告采訪了50多個國家的476名IT專業人士,其中大部分受訪者位于美國和英國。根據該報告顯示,63%的企業沒有完全成熟的方法來控制和追蹤敏感數據。
“這意味著很多企業不知道他們的敏感數據在什么位置,誰能夠訪問它以及它的移動位置,”Trustwave公司高級副總裁Phil Smith表示,“這種信息類型是構建安全戰略的第一步。”
如果企業不知道其敏感數據是什么及其位置,那么,企業如何可以保護這些數據呢?Smith表示,風險評估的第一部分應該是查明企業內敏感數據的位置。企業應該知道有哪些敏感數據、位置所在以及其移動的方向和誰有權訪問它。
該報告還發現,雖然58%的企業使用第三方來管理敏感數據,但48%的企業實際上并沒有部署第三方管理程序。
“很多企業(特別是零售業)外包支付流程到第三方供應商,讓他們可以訪問敏感支付卡信息,”Smith表示,“然而,他們不知道這些供應商正在如何保護其數據。”
安全支付處理的問題顯得尤為重要,特別是在2014年發生了那么多零售業數據泄露事故。Smith建議企業與他們所使用的第三方供應商進行溝通,讓每一方都知道自己在數據保護方面的責任。此外,他建議企業對與第三方的合同構建安全要求。
雖然企業可能無法面面俱到地保護數據,但Trustwave調查發現企業對法律責任有著很高的意識。60%的企業表示他們知道其保護敏感數據安全的法律責任。該調查發現,只有21%的企業沒有任何安全意識培訓,這意味著多數企業實際上有某種形式的安全培訓計劃。
此外,大多數受訪者表明,攜帶自己設備到工作場所(BYOD)控制已經部署到位。只有38%的受訪者指出其企業并沒有任何BYOD控制。
Smith稱:“仍然有很多企業沒有圍繞BYOD的安全政策和程序。”
補丁管理是安全企業的重要組成部分,但研究發現,58%的企業沒有完全成熟的補丁管理流程。Smith指出,在很多情況下,企業專注于部署更嚴格的訪問控制、入侵防御/檢測設備和其他外圍安全,而將補丁修復和維護現有系統放在較低優先級。
該研究的另一個重要發現是,董事會對企業安全的參與性很強。45%的企業都有董事會級或者高管級管理層參與了安全事務。安全是一個自上而下的問題。
“企業各階層都應該將安全視為重點問題,從技術IT專業人員到非技術性員工和管理人員,”Smith表示,“C級高管不僅應該詢問其IT團隊,我們的數據安全嗎?還應該問,我們的數據是如何受到保護?部署了什么控制措施?”